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SlSTEMAS DE SEGURIDAD PARA QUEMADORES (BMSIS) 

Safety Note SN - 5032 

IMPLEMENTACION DE NlVEL SIL 3 A NlVEL FUNCIONAL Y DEL HARDWARE 



1. El Nivel SIL no esta "dentro del Logic Solver" 

Continuando con el analisis sobre la Evaluacion e Implementacion del Nivel SIL para Quemadores 
(ver Nota de Seguridad SN-5031), veo la necesidad de aclarar un concepto erroneo que suele 
esgrimirse durante el diseno de un BMSIS: la creencia equivocada de que bastara con proveer un 
"PLC SIL 3" (como suele decirse), para que el BMSIS provea el nivel de proteccion adecuado. Este 
concepto equivocado presupone que el Nivel SIL esta "dentro del Logic Solver" y que este, en forma 
"magica" se encargara de resolver nuestro problema de seguridad. 

Digamos una vez mas, que el Nivel SIL es solo una de las caracteristicas de la Funcion 
Instrumentada de Seguridad (SIF), y que esta es en realidad como una "cadena" en la cual 
todos sus eslabones deben proveer "la misma resistencia para evitar que ella se rompa". 

Es decir, es la SIF completa la que provee un determinado Nivel de Reduccion de Riesgo, el 
cual esta relacionado con el Nivel de Integridad SIL (o grado de "certeza" con el cual sera 
ejecutada esta accion protectora), y con el Tiempo de Seguridad (el cual no debera ser excedido si 
se quiere evitar el accidente). 

Cada SIF es en si misma una "cadena de seguridad" que esta compuesta por "eslabones fisicos" 
(hardware) y por "eslabones funcionales" (software y/o firmware). 

En particular, la parte fisica de la "SIF de shutoff por apagado de llama" esta formada por: 
H1) Sistemas de Deteccion de Presencia de Llama 
H2) Sistemas de Corte de Combustible 
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H3) Hardware del Logic Solver (canales de Entrada/Salida y CPU) 

H4) Cableado entre los componentes (detectores - logic solver - actuadores) 

Por otro lado, la parte funcional de la "SIF de shutoff por apagado de llama" esta compuesta por: 
F1) Caracteristicas Funcionales de los Detectores de Llama (Discriminacion, Autodiagnostico, 

Tiempo de Reaccion, Funcionamiento FailSafe) 
F2) Caracteristicas Funcionales de los Sistemas de Corte de Combustible (Forma de Bloqueo, 

Tiempo de Reaccion, Capacidad de Diagnostico, Funcionamiento FailSafe) 
F3) Caracteristicas Funcionales del Logic Solver (Logica Parametrizable o Programable, 

Proteccion de Acceso, Forzado de entradas/salidas, Autodiagnostico, Tiempo de Ejecucion, 

Diagnostico de la Instalacion, Diagnostico de Dispositivos de Campo, Funcionamiento 

FailSafe) 

No analizaremos cada una de estas caracteristicas en forma individual, ya que muchas de ellas han 
sido cubiertas en otras Notas de Seguridad anteriores, sino que nos limitaremos a elaborar una guia 
practica adecuada para la implementacion de esta SIF de Shutoff por apagado de llama, de forma tal 
de obtener el Nivel SIL 3 "a lo largo" de TODA la "cadena de seguridad". 

2. Uniendo los Conceptos de Seguridad Funcional y Tolerancia a Fallas 

Aunque tanto la Norma IEC 61508 como su derivada para la Industria de Procesos, IEC 61511, 
mencionan la necesidad de proveer Tolerancia a Fallas, tanto en los dispositivos de campo 
(Detectores y Actuadores), como en el Logic Solver, ninguna de ellas explicita que significa 
realmente esta "tolerancia". 

En terminos generales, en estas Normas se entiende por "tolerancia a fallas" la capacidad de un 
sistema de "seguir funcionando, aun en presencia de una falla, sin dejar de ejercer su funcion 
protectora", como en el caso de los Logic Solvers tipo TMR o 1oo2D, por citar dos ejemplos. 
Pero Shasta cuando un sistema podra seguir funcionando en presencia de esta falla sin perder su 
capacidad protectora? 
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Para poder contestar esta pregunta sera necesario incorporar los conceptos establecidos por la 
Norma IEC 62061 (Seguridad Funcional en Maquinas), la cual incluye las prescripciones de la Norma 
ISO 13849. 

La Norma ISO 13849 (internacionalizacion de la Norma Europea EN 954), establece cinco 
Categorias de Seguridad, de cuya definicion se comprende claramente el significado de la frase 
"tolerancia a fallas". Analizaremos solamente la definicion de la Categona 4, pues es la que nos 
permitira implementar el Nivel SIL 3 que necesitamos. 

En Categona 4, la Tolerancia a Fallas debe aplicarse de forma tal que a) "una sola falla en 
cualquiera de sus partes no cause la perdida de la funcion de seguridad", b) "la primera falla 
se detecte ante la siguiente demanda de la funcion de seguridad, o antes de esta", c) "si esta 
deteccion no es posible, entonces una acumulacion de fallas no causara una perdida de la 
funcion de seguridad". 

Como puede verse claramente, la definicion de la Categona 4 explica la "tolerancia a la primer falla", 
es decir, la falla de un componente primario debe ser detectada por algun otro componente 
secundario, en forma inmediata o al presentarse una demanda del sistema de proteccion. 

Pongamos como ejemplo el corte de energia que debera aplicarse al solenoide de comando de una 
valvula de shutoff de combustible, con Tolerancia a Fallas = 1. 

Para garantizar este corte, se dispondran dos contactores que cortaran la alimentacion a cada uno 
de los extremos del solenoide (ver tambien el punto 3.2). 

Si, por ejemplo, uno de los contactores quedara "pegado" luego de una parada de emergencia, el 
sistema continuana siendo seguro pues el segundo contactor tendria aun la capacidad de cortar la 
alimentacion del otro extremo de la bobina. Esta es la "Tolerancia a Fallas = 1" requerida. 

La pregunta que cabe hacerse es <^al detectar la falla del primer contactor, el sistema debera permitir 
un re-arranque "sabiendo" que le queda un solo contactor para cortar la alimentacion? 
Si el sistema es Categona 4, la respuesta es NO, porque, tal como dice la definicion, "una 
acumulacion de fallas no causara una perdida de la funcion de seguridad", lo cual sucedena si fallara 
el segundo contactor sin que se hubiera reparado el primero. 
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Pero hasta aqui la Norma ISO nos da una respuesta a medias, es decir, nos habla de la tolerancia a 
fallas, pero no del Nivel SIL, pues en ella no se consideran las "probabilidades de falla en demanda". 
Sin embargo, establece una relacion entre las Categorias y el Nivel SIL, que puede explicarse asi 
para el Nivel SIL que nos interesa: 

Para obtener un Nivel SIL 3, los componentes de la "cadena de seguridad" deberan estar 

conectados de acuerdo con la Categoria 4. 

Y esto es asi porque, como podra comprenderse, los componentes electricos y/o electronicos 
presentan "modos de falla complejos", es decir, que pueden fallar en diferentes formas y generar asi 
situaciones de peligro (ver punto 4.1 .2). 

Cabe aclarar sin embargo, que un subsistema de Categoria 4 no necesariamente provee un Nivel 
SIL 3, aunque un subsistema de Nivel SIL 3, necesariamente debera estar cableado segun 
Categoria 4. 

Pero, <|,c6mo implementar esto "fisicamente"? Veamos algunos ejemplos tornados de sistemas 
existentes en el mercado. 

3. Parte ffsica de la "SIF de shutoff por apagado de llama" 
3.1 Conexion de senales de Entrada al Logic Solver 

Sobre la base de lo explicado en el punto 2, los Sistemas de Deteccion de Llama (sean estos del 
tipo "Flame Rod" u "Opticos por Radiaciones UV y/o IR"), DEBEN proveer al menos dos contactos 
independientes para la "senal de apagado de llama", de forma tal que el sistema pueda detectar 
la "primera falla". 

Ambos contactos deberan ser llevados a canales independientes del Logic Solver, tal como muestra 
la Figura 3.1.1, en la cual puede verse como (por medio de la alimentacion independiente portrenes 
de pulsos de diferente frecuencia para cada contacto), el Logic Solver podra detectar dicha primera 
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falla (cable cortado, cable a masa, etc.), enviando el sistema a condicion segura ANTES que se 
produzca una segunda falla (ISO 13849 Categoria 4). 

Sin perjuicio de esto, deberan utilizarse dos Sistemas de Deteccion de llama (el grafico muestra 
la conexion de uno solo de ellos) para garantizar la deteccion de la primera falla a nivel 
"funcional" (ver punto 4). 
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Fig. 3.1.1 



3.2 Conexion de senales de salida del Logic Solver 



El tipo de Sistema de Corte de Combustible a proveer dependera del tipo de combustible que 
estemos utilizando pero, en lo que se refiere a la Tolerancia a Fallas, esta sera igual a 1 a fin de 
garantizar el bloqueo del mismo, como analizaramos en el punto 2. 



Como hemos analizado en otras Notas de Seguridad, el Nivel SIL que se requiere para esta SIF 
puede garantizarse con valvulas de shutoff independientes o con Sistemas de Bloqueo y Venteo que 
proveen un unico comando de actuacion (Valvulas de Triple Efecto o "Trifecta"). 
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La Figura 3.2.1 nos muestra una forma de conexion que permite la desenergizacion segura del 
Sistema Trifecta (hemos indicado este esquema por simplicidad; para la desconexion de valvulas de 
shutoff y bloqueo independientes, deberan triplicarse las entradas/salidas). 

Tal como analizaramos en el punto 2, esta conexion permite detectar una eventual primera falla de 
uno de los contactores de salida y enviar al corte al segundo contactor antes de que una 
segunda falla pueda hacer perder la seguridad. 

Asimismo, cuando uno de estos contactores no haya accionado adecuadamente, se evitara una 
nueva energizacion del Sistema Trifecta hasta que no haya sido corregida la falla (ISO 13849 
Categoria 4). 

Cabe hacer notar que, para que esta proteccion sea efectiva, C1 y C2 deben ser contactores de 
seguridad con contactos "positivamente guiados", segun IEC 60947. 
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Fig. 3.2.1 



IMPLEMENTACION DE NlVEL SIL 3 A NlVEL FUNCIONAL Y DEL HARDWARE 



6 



Ricardo A. Vittoni - FSS 

Napoles 3139 - C1431DEA - Cdad. de Buenos Aires - Cel. (11) 15 4416-8977 - ravittoni@gmail.com 



4. Parte Funcional de la SIF de shutoff por apagado de llama 

4.1 Caractensticas Funcionales de los Sistemas de Deteccion de Presencia de Llama 

Actualmente los principales Sistemas de Deteccion de Presencia de Llama mas usados son los del 
tipo "Flame Rod" y los del tipo "Optico por Radiaciones UV y/o IR". 

En los Sistemas con Flame Rod, la presencia de la llama se detecta por el nivel de la componente de 
corriente continua que fluye desde la varilla de deteccion (Flame Rod) a masa, a traves de la llama. 
Estos Sistemas son utilizados desde hace mucho tiempo y la unica "ventaja" que quiza posean es su 
simplicidad, aunque su funcionamiento se ve afectado en quemadores que funcionan con 
combustible liquido (Fuel Oil), debido a los depositos de carbon que se producen en la Varilla 
durante el funcionamiento, lo cual obliga a una limpieza periodica y permanente de la misma. 

Los Sistemas que detectan la Radiacion de la llama, en cambio, por ser mas sofisticados y por no 
estar en contacto directo con la llama, proveen un funcionamiento que no es afectado por el tipo de 
combustible. 

Estos Sistemas (de los cuales hemos hablado ampliamente en la SN-011), permiten ademas 
"analizar" la llama por medio de sus radiaciones (tanto UV como IR). 

Pero independientemente del tipo de Detector de Presencia de Llama que utilicemos y como 
explicamos en la SN-5031, a fin de preservar la Seguridad Funcional del "lazo de seguridad", se 
necesitaran al menos dos Sistemas de Deteccion de Llama en votacion para garantizar el 
adecuado nivel de tolerancia a fallas en una SIF de Nivel SIL 3 (ademas, cada uno de estos 
Sistemas de Deteccion debera ser conectado al Logic Solver segun los lineamientos establecidos en 
el punto 3.1. ). 

4.1.1 Discriminacion 

Una de las caractensticas funcionales fundamentales para garantizar un adecuado nivel de 
proteccion del BMSIS, es la capacidad de discriminacion del Detector de Presencia de Llama. Esta 
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capacidad permitira al Sistema de Deteccion saber si la llama que esta "detectando" es la 
correspondiente a un apropiado funcionamiento del Quemador o si, por el contrario, se trata de una 
"falsa llama" que pondra en peligro la seguridad de la Caldera o del Horno. 

Los Sistemas del tipo "Flame Rod" no poseen discriminacion, en la medida en que miden 
solamente la corriente que pasa por la varilla en ese momento a traves de la supuesta llama, 
pero no pueden determinar si la llama es apropiada, lo cual si pueden discernir los Sistemas del 
tipo Optico (radiaciones UV y/o IR). 

De todas formas, un buen Sistema Flame Rod podra detectar una varilla "sucia" y enviar el 
BMSIS a condicion segura cuando considere que la deteccion puede ser no eficaz o insegura. 

Los Sistemas del tipo Optico permiten un alto grado de discriminacion en la medida en que "ven" la 
llama (y no solo detectan su presencia como en el caso del Flame Rod). 

Es muy importante hacer notar, sin embargo, que cada tipo de combustible provee un espectro 
de radiacion distinto (como vemos en el siguiente grafico), y que es precisamente el Sistema de 
Deteccion de Presencia de Llama el encargado de analizarlo utilizando detectores del tipo UV, 
IR, o una combinacion de ambos (en el grafico se indica, ademas, la sensibilidad para cada tipo de 
detector): 

(%) RADIATION INTENSITY & WAVELENGTH FOR DIFFERENT FUELS 
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Como puede observarse en el grafico (gentileza de IRIS Systems Inc.), la radiacion propia del hogar 
podria ser detectada como llama si los detectores tipo IR solamente observaran el espectro de 
frecuencia de la radiacion. 

Para evitar esto, los Sistemas de Deteccion IR analizan el "parpadeo" de la llama (flickering), que se 
produce al mezclar el combustible con el aire de combustion, utilizando filtros de frecuencia 
ajustables que permiten que el detector IR provea tan buena discriminacion como la que ofrecen los 
Sistemas UV en su angosto rango de frecuencias (en el siguiente grafico se muestran dos ejemplos 
donde se ve como cambia la frecuencia de lectura del detector IR para combustibles distintos; la 
curva roja muestra la "radiacion de fondo" del hogar, la cual confundiria al detector si este no utilizara 
los filtros adecuados). 
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Pero sin lugar a dudas, la mejor solucion, que garantiza una perfecta discriminacion al mismo 
tiempo que provee una tolerancia a fallas en el mismo detector, la constituyen los Sistemas 
de Deteccion de Llama Duales UV+IR. 

En estos, practicamente el unico elemento en comun es la lente en el frente del Detector, toda vez 
que, tanto los sensores UV e IR, como sus circuitos electronicos asociados y las senales de 
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salida de presencia de llama duplicadas, son totalmente independientes desde el punto de 
vista funcional, garantizando una tolerancia a fallas = 1 inherente al Sistema (no obstante se 
recomienda, siempre que sea posible, sobre todo en Quemadores de gran porte, la utilizacion de dos 
Sistemas por Quemador). 

Estos Sistemas suelen incorporar, ademas, un rele de falla independiente para cada canal (uno 
para el UV y otro para el IR). 

4.1.2 Autodiagnostico FailSafe 

La capacidad de autodiagnostico, a la cual aludieramos en otras Notas de Seguridad, es la que 
permite a un sistema "saber" cuando algo no esta funcionando bien en su seno. 

Esta capacidad de detectar fallas propias permite clasificar a estas ultimas en 4 categorias, como 

□ Failure Rate Global 

□ Fallas Seguras 

□ SD = Segura Detectada 

□ SND = Segura NO Detectada 

□ Fallas Peligrosas 

□ PD = Peligrosa Detectada 

□ PND = Peligrosa NO Detectada 



muestra el grafico: 





Cuando la falla sea "segura" o se 
detecte una falla peligrosa, el 
subsistema ira a condicion segura, 
es decir, a una condicion en la cual 
se garantice que la proteccion 
provista por el mismo continuara 
siendo efectiva, aun en presencia de 
dicha falla. 

A este comportamiento se lo conoce 
como FAILSAFE (FS) 
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Cuando el autodiagnostico detecta una falla y envia al subsistema a condicion segura, es 

decir, a una condicion en la cual se garantiza que la protection provista por el mismo continuara 
siendo efectiva, aun en presencia de dicha falla, se lo conoce como Autodiagnostico FailSafe. 

Pero cabe preguntarse, ^que pasara con las fallas que el autodiagnostico no puede descubrir? 

4.1.3 Tasa de Fallas Peligrosas (FRD - Failure Rate Dangerous) 

Como vemos en la figura, existe un porcentaje de las posibles fallas que no podran ser detectadas 
por el autodiagnostico failsafe, el cual reacciona solo ante las fallas del tipo SD y DD. 
Este porcentaje no cubierto por el autodiagnostico es muy bajo en equipos de alta calidad y su valor 
se mide en fallas por ano o en millonesimos de fallas por hora. 

Por ejemplo, un buen Sistema de Deteccion de Presencia de Llama tendra un FRD menor que una 
falla peligrosa cada 5000 anos, la cual podra expresarse como: 



Si recordamos los valores que exige la IEC 61508 para el modo continuo de operation, veremos que 
este valor se halla dentro de los limites del Nivel SIL 3. 

Sin embargo, no debe olvidarse que la utilizacion de dos Sistemas de Deteccion de Presencia 
de Llama es obligatoria para asegurar los niveles de tolerancia a fallas requeridos para este Nivel 
SIL (ver punto 2). 



FRD = 1 / 5000 anos 6 



FRD = 2.28E-8 / hora 





Fail-to-Danger o 

FAIL ON DEMAND (FD) 
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4.1.4 Tiempo de respuesta ante la falta de llama (FFRT) 

Como ya nemos analizado en notas anteriores, existe un tiempo maximo de respuesta para toda SIF. 
Este tiempo es necesariamente menor que el tiempo mmimo que pudiera convertir el proceso en un 
evento peligroso (tiempo conocido como Process Safety Time o PST). 

Como vimos en la SN-5031, el tiempo maximo establecido por la Norma FM 7605 para producir el 
shutoff de combustible una vez detectada la falta de llama, es de tan solo 4 segundos. 

Si consideramos que un buen Sistema de Corte de Combustible no tardara mas de 1 segundo en 
cerrar, una vez recibida la serial desde el Logic Solver, y descontando el tiempo de procesamiento 
de este ultimo, usualmente del orden de solo algunos milisegundos, el tiempo maximo que podra 
demorar el Sistema de Deteccion de Llama en dar la serial de llama apagada sera de tan solo 3 
segundos. 

No obstante, si consideraramos que el Sistema de Corte de Combustible pudiera tardar mas de 1 
segundo (como suele pasar en los sistemas con tres valvulas independientes), el tiempo de 
respuesta del Sistema de Deteccion de Llama debera poder ajustarse para que la accion total 
de la SIF no supere los 4 segundos. 

4.2 Caractensticas Funcionales del Sistema de Corte de Combustible 

Como ya dijimos anteriormente, el Sistema de Corte de Combustible podra realizarse con valvulas 
de shutoff independientes o por medio de un sistema integral del tipo "Trifecta". 

Como ventajas de los Sistemas tipo Trifecta hemos visto la mayor simplicidad de cableado y la 
consiguiente menor cantidad de entradas/salidas requeridas en el Logic Solver, el rapido 
accionamiento del que estos sistemas son capaces y su funcionamiento FailSafe. 

Como ventaja adicional podemos mencionar la menor cantidad de bridas necesarias, lo cual reducira 
el riesgo de fugas de combustible en la zona, contribuyendo asi a reducir el nivel de riesgo general. 
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Adermas, como este tipo de Sistema de Bloqueo y Venteo ha sido homologado por FM de acuerdo 
con su Norma FM 7400, se recomienda ampliamente la utilizacion de los Sistemas tipo Trifecta 
como garanti'a de confiabilidad para integrar BMSIS de Nivel SIL3. 

4.3 Caracteristicas Funcionales del Logic Solver 

Es mucho lo que ya hemos hablado acerca de Logic Solvers para Sistemas BMS (ver SN-3121, SN- 
5031). 

Baste con recordar que el Logic Solver para un BMSIS debera ser del tipo FAILSAFE De- 
Energize-To-Trip, debera estar homologado para ejecutar SIFs de Nivel SIL 3 segun la Norma 
IEC 61508, asi como SIFs de proteccion segun las Normas NFPA 85 y 86, y debera proveer 
monitoreo de linea apto para Categoria 4 segun ISO 13849. 

En los casos en los que se requiera, ademas, de Alta Disponibilidad Operativa con un muy bajo nivel 
de probabilidad de fallas espurias, el Logic Solver debera ser FAILSAFE / FAULT TOLERANT, 
con arquitectura integral (CPU y Entradas/Salidas) del tipo 1oo2D 6 TMR. 

Asimismo, se debera garantizar que el tiempo de ciclo ("scan" de la logica + autodiagnostico), del 
programa de aplicacion del BMSIS (aplicativo de software del Logic Solver), sea tal que, sumado 
al FFRT del Sistema de Deteccion de Llama, y al tiempo de respuesta del Sistema de Corte de 
Combustible, no Neve el tiempo total de accion de la "SIF de shutoff de combustible por 
apagado de llama" a un valor superior a los 4 segundos. 

5. Conclusiones 

Asumamos, por todo lo expuesto, que DEBEMOS prescribir, para toda Caldera u Horno 
Industrial, la utilizacion de un BMSIS con capacidad para ejecutar SIFs de Shutoff de 
Combustible por Falta de Llama de Nivel SIL 3, compuestas, para cada Quemador por los 
siguientes componentes: 
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> UNO o DOS Sistemas de Deteccion de Llama de Alta Discriminacion UV+IR, cada uno con 
doble circuito independiente de indicacion de llama apagada, con autodiagnostico FailSafe 
y rele de falla independiente para cada canal, con una Tasa de Fallas Peligrosas (FRD) de 
1/ 5000 anos o menor y con un tiempo de respuesta por falta de llama (FFRT) ajustable 
hasta 3 segundos (maximo absoluto). 

> UN Sistema de Corte de Combustible FailSafe con Doble Bloqueo y Venteo, certificado por 
FM segun la Norma FM 7400 (con un tiempo de actuacion total maximo tal, que permita un 
tiempo maximo de corte de combustible de 4 segundos, incluido el tiempo de ciclo del Logic 
Solver y el FFRT del Sistema de Deteccion de Llama). 

Ademas, estas SIFs de Shutoff de Combustible por Falta de Llama seran ejecutadas por: 

> UN Logic Solver del tipo FAILSAFE De-Energize-To-Trip, homologado para ejecutar SIFs 
de Nivel SIL 3 segun la Norma IEC 61508, asi como SIFs de proteccion segun las Normas 
NFPA 85 y 86, y con monitoreo de linea apto para Categona 4 segun ISO 13849. 

En los casos en los que se requiera, ademas, de Alta Disponibilidad Operativa con un muy bajo 
nivel de probabilidad de fallas espurias, el Logic Solver debera ser FAILSAFE / FAULT 
TOLERANT, con arquitectura integral (CPU y Entradas/Salidas) del tipo 1oo2D 6 TMR. 

Nuevamente, si no cumplieramos con los requisitos mencionados anteriormente, correriamos el 
riesgo de ser nosotros mismos los culpables de un accidente que pudiera costar muchas 
vidas. 

Ricardo A. Vittoni - FSS 
Functional Safety Specialist 

NOTA IMPORT ANTE 

Los esquemas electricos presentados en este documento son simplemente indicativos y no debera asumirse que su 
implementacion proveera el Nivel SIL mencionado sin haber realizado previamente los calculos correspondientes. El 
Usuario del Sistema sera responsable de hacer estos calculos asi como de disenar la arquitectura del Sistema que 
proveera el Nivel de Reduccion de Riesgo necesario en cada aplicacion en particular. 
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